Muss ich meine Passwörter wirklich regelmäßig ändern?
Dieser Artikel ist älter als ein Jahr!
Es gilt als alte Weisheit der IT-Sicherheit und wird in vielen Unternehmen erzwungen: das regelmäßige Ändern des eigenen Passwortes. Am 1. Februar wurde dafür sogar der “Change Your Password Day” ins Leben gerufen.
Tatsächlich ist die Empfehlung jedoch veraltet und kann die Sicherheit sogar verschlechtern, anstatt sie zu verbessern, wie Edgar Weippl, Professor für Sicherheit und Datenschutz an der Universität Wien und Research Director bei SBA Research, im Gespräch mit der futurezone erklärt.
Schwächere Passwörter
Entstanden ist die Praxis aufgrund einer Guideline der US-Bundesbehörde National Institute of Standards and Technology (NIST). “Diese Empfehlung hat sich mittlerweile aber geändert”, so Weippl. “Hintergrund ist, dass Menschen dadurch tendenziell schwächere bzw. nur leicht abgeänderte Passwörter verwenden”, sagt Weippl. “Man wechselt dann vielleicht von “meingeheimesPAsswort21” auf “meingeheimesPasswort22”, so der Sicherheitsexperte.
Dass viele Unternehmen nach wie vor ihre Mitarbeiter dazu zwingen, ihr Passwort regelmäßig zu ändern, sieht Weippl als Nachwirkung der veralteten Empfehlung: "Das wurde über viele Jahrzehnte hinweg gepredigt." Die aktuellen Empfehlungen der NIST kann man in den Digital Identity Guidelines nachlesen.
Die Passwortlänger ist noch wichtiger als die Komplexität der Zeichen
Länge vor Komplexität
Anstatt den Fokus auf ständige Passwortänderungen zu legen, sollte man laut Weippl lieber auf die Qualität der Passphrasen achten. Wer Probleme hat, sich viele Zahlen und Sonderzeichen einzuprägen, dem rät Weippl vorwiegend auf die Länge zu achten. “Es schadet natürlich nicht, wenn man möglichst komplizierte Passwörter verwendet. Allerdings ist die Passwortlänge wichtiger als die Komplexität”, so der Forscher. Als Faustregel empfiehlt er Passphrasen mit mindestens 20 Zeichen.
Auch sei es von enormer Wichtigkeit, einzigartige Passwörter zu verwenden. Der Grund dafür ist, dass bei Hacker-Angriffen immer wieder ganze Kataloge an Nutzerdaten abgegriffen werden. Anschließend wird versucht, sich damit bei verschiedenen Diensten einzuloggen. Wenn man also dieselbe Kombination aus Benutzernamen und Passwort bei mehreren Seiten verwendet, haben Angreifer somit Zugriff auf diese Dienste. Ob bzw. bei welchen Datenlecks man selbst bereits betroffen war, kann man zum Beispiel auf der Webseite Have I Been Pwned nachlesen. Taucht man dort auf, sollte man das betroffene Passwort unbedingt ändern, falls man es noch irgendwo anders verwendet.
Damit man bei all den Passwörtern auch den Überblick behält, empfiehlt Weippl die Nutzung eines Passwort-Managers. Welchen der populären Dienste man nutzt, sei zweitrangig. Der Experte nennt aber das quelloffene KeePass als gutes Beispiel.
Empfehlenswerte Passwort-Manager
KeePass
Die Software KeePass zählt zu den ältesten und bekanntesten Passwort-Managern. Vor allem der Umstand, dass die Software unter einer GNU General Public License veröffentlicht wird, sorgt für breites Vertrauen. Dafür ist sie nicht ganz so bequem und hübsch gestaltet die die anderen Alternativen.
LastPass
Ebenfalls sehr bekannt ist LastPass, das mittlerweile zum Bostoner Softwareunternehmen LogMeIn gehört. In der Basisversion kostenlos punktet das Tool vor allem mit seiner leichten Bedienbarkeit. Erstellen, abrufen und verändern kann man seine Passwörter über eine Web-Oberfläche. Die meisten User dürften auch mit der kostenfreien Variante auskommen, für Premium-Funktionen ist man ab 2,90 Euro im Monat mit dabei.
1Password
Die Software 1Password zählt ebenfalls zu den beliebten und vertrauenswürdigen Adressen. Eine besondere Funktion ist der “Watchtower”, der über Sicherheitslücken bei gespeicherten Diensten informiert.
Bitwarden
Quelloffen aber noch nicht so bekannt wie KeePass ist Bitwarden. Der Fokus des Managers liegt auf seinen App-Funktionalitäten. Die Basis-Version ist kostenlos, für einen Premium-Account wird 1 Dollar pro Monat fällig.
Enpass
Die Software Enpass setzt anstelle eines Abo-Modells auf eine Einmalzahlung und bringt ebenfalls alle essenziellen Funktionen mit, die ein Passwortmanager benötigt.
Mehr Details zu den Passwortmanagern und vor allem ihre Apps für Android und iOS lest ihr hier.
2-Faktor
Weippl rät auch auf jeden Fall dazu, Zwei-Faktor-Authentifizierung überall dort zu verwenden, wo sie angeboten wird. Dabei benötigt man neben Benutzernamen und Passwort noch ein zusätzliches Sicherheitsmerkmal, zumeist ein Code. Jenen bekommt man entweder per SMS oder er wird über eine dazugehörige App generiert. Hardware-Schlüssel (etwa in Form kleiner USB-Sticks) können hier ebenfalls verwendet werden.
Auch wenn der Hardware-Schlüssel als Goldstandard gilt, muss es nicht unbedingt diese Methode sein, sagt Weippl. Die Zusendung eines Codes per SMS sei aufgrund der Möglichkeit des SMS-Clonings zwar tendenziell zugänglicher für Angriffe, allerdings sei das für Österreich keine realistische Gefahr. “Außerdem hat man immer noch das Passwort als Verteidigungslinie”, sagt Weippl.
Auch die Nutzung von 2-Faktor-Apps, wie den Google Authenticator oder das Pendant Microsoft Authenticator, sieht Weippl als empfehlenswert an. Dabei wird der Zweifaktor-Code zeitabhängig in der Smartphone-App generiert. “Selbst bei uns im Sicherheitszentrum verwenden viele diese Apps”, so der Sicherheitsexperte.
Kommentare